Folgendes Szenario angenommen:
- Ein NDES Server ist im Netzwerk konfiguriert.
- Bei Aufruf der Administrations-Webseite (certsrv/mscep_admin) kommt folgende Meldung:
The password cache is full.
Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".
In der Standardeinstellung können fünf Passwörter innerhalb eines Zeitraums von einer Stunde im Umlauf sein. Um die Anzahl der im Umlauf befindlichen Passwörter zu erhöhen, muss der Wert "PasswordMax" unterhalb des folgenden Registry-Schlüssels auf dem NDES Server entsprechend angepasst werden.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\PasswordMax
Obiger Schlüssel ist in der Standardeinstellung nicht vorhanden und muss erst erzeugt werden.
Danach kann ein neuer Wert namens "PasswordMax" vom Type DWORD erzeugt werden. Er wird für die maximale Anzahl von Passwörtern, die gleichzeitig im Umlauf sein dürfen, konfiguriert.
Die Änderung erforder einen Neustart des NDES-Dienstes. Hierfür kann entweder der gesamte Webserver-Dienst neu gestartet werden:
iisreset
Oder man startet den SCEP-Anwendungspool auf dem IIS-Webserver neu:
Restart-WebAppPool -Name SCEP
Der NDES-Dienst wird erst beim ersten Aufruf durch einen Client geladen. Dies kann mit folgenden Befehl erzwungen werden:
[void](Invoke-WebRequest -Uri "http://localhost/certsrv/mscep/mscep.dll/pkiclient.exe?operation=GetCACaps")
Deutsch 
English
3 Gedanken zu „Die Network Device Enrollment Service (NDES) Administrations-Webseite (certsrv/mscep_admin) meldet "The password cache is full."“
Kommentare sind geschlossen.